手把手教程：怎样防范WEB SHELL

防范这些WEB SHELL，首先是设置服务器的权限，禁止他们越权访问东西。服务器权限设置可以参考沉睡不醒整理的IIS FAQ http://fox.he100.com/showart.asp?art_id=121&cat_id=1 ），我这里就直接引用原文的内容了。

如何让IIS的最小NTFS权限运行?

　　依次做下面的工作:

　　a.选取整个硬盘：

　　system：完全控制

　　administrator：完全控制

　　(允许将来自父系的可继承性权限传播给对象)

　　b.\program files\common files：

　　everyone：读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　c.\inetpub\wwwroot：

　　iusr_machinename：读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　e.\winnt\system32：

　　选择除inetsrv和centsrv以外的所有目录，

　　去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

　　f.\winnt：

　　选择除了downloaded program files、help、iis temporary compressed files、

　　offline web pages、system32、tasks、temp、web以外的所有目录

　　去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

g.\winnt：

　　everyone：读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　h.\winnt\temp：（允许访问数据库并显示在asp页面上）

　　everyone：修改

　　(允许将来自父系的可继承性权限传播给对象)

再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问，这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了，再删除cacls.exe这个程序，防止有人通过命令行来修改权限，呵呵。

再来去掉一些ASP WEBSHELL需要使用的一些组件，这些组件其实普通的虚拟主机用户也是用不上的。

很多防范ASP木马的文章都提到要删除FileSystemObject组件，但删除了这个组件后，很多ASP的程序可能会运行不了，其实只要做好了前面的工作，FileSystemObject组件能操作的，只能是自己目录下的文件，也就构成不了什么威胁了！

现在看来，还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了，Shell.Application可以对文件进行一些操作，还可以执行程序，但不能带参数，而Wscript.Shell可以操作注册表和执行DOS命令。

防范Wscript.Shell组件的方法：

可以通过修改注册表，将此组件改名。

HKEY_CLASSES_ROOT\Wscript.Shell\及HKEY_CLASSES_ROOT\Wscript.Shell.1\

改名为其它的名字，如：改为Wscript.Shell_ChangeName或Wscript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值

HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

防范Shell.Application组件的方法：

可以通过修改注册表，将此组件改名。

HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了。

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。